Google се състезава с корекция за нулевия браузър Chrome с висока степен на сериозност на Windows и Android

male-deskworker-tired-it-burnout-office-employee-stressed.jpg

Изображение: 10’000 часа/GETTY

Google пусна актуализация на Chrome 103 за настолни компютри с Windows, която поправя пропуск в внедряването на WebRTC, за който предупреждава, че вече е атакуван.

Проблемът, който адресира актуализацията на Chrome 103.0.5060.114 за Windows, е „препълване на буфера на купчината в WebRTC“, отнасящ се до това, когато буферът, разпределен в частта на паметта на купчината, може да бъде презаписан за нечестиви средства.

WebRTC е отворен уеб стандарт за изграждане на видео и гласови приложения за комуникации в реално време (RTC). Той е активиран от JavaScript в браузъра и стандартът се поддържа от всички основни доставчици на браузъри.

ВИЖ: Тези хакери разпространяват ransomware като разсейване – за да скрият своето кибер шпиониране

Google не е предложил никакви подробности за грешката, освен че е получил идентификатор CVE-2022-2294, има “висок” рейтинг на сериозност и че Ян Войтесек от екипа на Avast Threat Intelligence е докладвал за това на Google на 1 юли .

Той обаче призна, че има експлойт за това, което се разпространява в обществеността.

„Google е наясно, че експлойт за CVE-2022-2294 съществува в природата“, се казва в публикация в блога, обявяваща стабилната версия на Chrome за настолен компютър.

Google също оттогава пусна корекция за същия WebRTC недостатък в Chrome за Android.

МИТЪР казва в неговият запис за препълване на базиран на купчина буфер: “Базираните на купчина препълвания могат да се използват за презаписване на функционални указатели, които може да живеят в паметта, като го насочват към кода на атакуващия. Дори в приложения, които не използват изрично функционални указатели, времето за изпълнение обикновено ще остави много в паметта. За например методите на обекти в C++ обикновено се изпълняват с помощта на указатели на функции. Дори в програмите на C често има глобална офсетна таблица, използвана от базовото време за изпълнение.”

Google казва, че не разкрива подробности за грешки, докато повечето потребители не бъдат актуализирани с корекция. Може също така да запази ограниченията, ако грешката съществува в библиотека на трета страна, от която други проекти зависят по подобен начин, но все още не са коригирани.

Актуализацията също коригира два други недостатъка с висока степен на сериозност. CVE-2022-2295 е объркване на типа в JavaScript двигателя V8 на Chrome, докато CVE-2022-2296 е проблем с „използване след освобождаване“ на паметта в обвивката на Chrome OS.

ВИЖ: Google: Половината от нулевите експлойти са свързани с лоши софтуерни корекции

От 15 юни проектът за сигурност на Google Google Project Zero (GPZ) са преброили 18 0-дни тази година, които са били експлоатирани в дивата природа. Два от 18 0-дни засегнаха Chrome.

Изследователят на GPZ Мади Стоун каза, че поне половината от нулевите дни, наблюдавани от GOZ от началото на 2022 г., „биха могли да бъдат предотвратени с по-всеобхватни корекции и регресионни тестове“.

Много от нулевите дни през първата половина на 2022 г. бяха само варианти на по-рано коригирани грешки в Microsoft Windows, Apple iOS и WebKit и Google Chrome. Както отбеляза тя, проблемът с основната причина не е решен, което позволява на нападателите да преразгледат първоначалния бъг по различен път.

Проблемът с непълните корекции беше, че това беше пропиляна възможност “направи 0-ден труден” за нападателите.

„Целта е да принудим нападателите да започнат от нулата всеки път, когато открием един от техните експлойти: те са принудени да открият изцяло нова уязвимост, трябва да инвестират време в изучаване и анализиране на нова повърхност за атака, трябва да разработят чисто нов метод на експлоатация. За да направим това ефективно, имаме нужда от правилни и изчерпателни корекции,” тя каза.

Leave a Comment